Bevezetés a Key Vault-tanúsítványok használatába
Az alábbi forgatókönyvek Key Vault tanúsítványkezelési szolgáltatásának számos elsődleges használatát ismertetik, beleértve az első tanúsítvány kulcstartóban való létrehozásához szükséges további lépéseket is.
A következők a következők:
- Az első Key Vault tanúsítvány létrehozása
- Tanúsítvány létrehozása olyan hitelesítésszolgáltatóval, amely Key Vault
- Tanúsítvány létrehozása olyan hitelesítésszolgáltatóval, amely nem Key Vault
- Tanúsítvány importálása
A tanúsítványok összetett objektumok
A tanúsítványok három, egymáshoz kapcsolódó erőforrásból állnak, amelyek Key Vault tanúsítványként vannak összekapcsolva; a tanúsítvány metaadataiból, egy kulcsból és egy titkos kódból.
Az első Key Vault tanúsítvány létrehozása
Ahhoz, hogy tanúsítványt lehessen létrehozni egy Key Vault (KV-ban), az 1. és a 2. előfeltételt sikeresen el kell végezni, és egy kulcstartónak kell léteznie ehhez a felhasználóhoz/szervezethez.
1. lépés: Hitelesítésszolgáltatói (CA-) szolgáltatók
- Az informatikai Rendszergazda, a PKI Rendszergazda vagy egy adott vállalat (pl. Contoso) fiókkezelése előfeltétele a Key Vault tanúsítványok használatának.
Az alábbi hitelesítésszolgáltatók a Key Vault jelenleg partnerként szereplő szolgáltatók. További információt itt talál- DigiCert – Key Vault OV TLS/SSL-tanúsítványokat kínál a DigiCerttel.
- GlobalSign – Key Vault OV TLS-/SSL-tanúsítványokat kínál a GlobalSign használatával.
2. lépés: A hitelesítésszolgáltató fiókadminisztrátora olyan hitelesítő adatokat hoz létre, amelyeket a Key Vault használ a TLS/SSL-tanúsítványok Key Vault keresztüli regisztrálásához, megújításához és használatához.
3a. lépés: A Contoso rendszergazdája és egy Contoso-alkalmazott (Key Vault felhasználó), aki a hitelesítésszolgáltatótól függően rendelkezik tanúsítvánnyal, tanúsítványt kérhet le a rendszergazdától vagy közvetlenül a hitelesítésszolgáltatónál lévő fiókból.
- Egy tanúsítványkibocsátó erőforrás beállításával kezdje el a hitelesítőadat-műveletet egy kulcstartóhoz. A tanúsítványkibocsátó az Azure Key Vault (KV) Tanúsítvány-kiállítói erőforrásként képviselt entitás. A KV-tanúsítvány forrásával kapcsolatos információk megadására szolgál; kiállító neve, szolgáltató, hitelesítő adatok és egyéb rendszergazdai adatok.
Pl. MyDigiCertIssuer
- Szolgáltató
- Hitelesítő adatok – hitelesítésszolgáltatói fiók hitelesítő adatai. Minden hitelesítésszolgáltató saját konkrét adatokkal rendelkezik.
A hitelesítésszolgáltatói fiókokkal való létrehozásáról további információt a Key Vault blog kapcsolódó bejegyzésében talál.
3b. lépés:Tanúsítványpartnerek beállítása értesítésekhez. Ez az Key Vault felhasználó névjegye. Key Vault nem kényszeríti ezt a lépést.
Megjegyzés – Ez a folyamat a 3b. lépésen keresztül egyszeri művelet.
Tanúsítvány létrehozása egy Key Vault partnerrel rendelkező hitelesítésszolgáltatóval
4. lépés: Az alábbi leírások az előző ábrán szereplő zöld számozott lépéseknek felelnek meg.
(1) – A fenti ábrán az alkalmazás létrehoz egy tanúsítványt, amely belsőleg egy kulcsnak a kulcstartóban való létrehozásával kezdődik.
(2) – Key Vault TLS-/SSL-tanúsítványkérelmet küld a hitelesítésszolgáltatónak.
(3) – Az alkalmazás hurokban és várakozási folyamattal kérdezi le a Key Vault a tanúsítványkiegészítéshez. A tanúsítvány létrehozása akkor ér véget, amikor a kulcstartó megkapja a CA válaszát az X.509-tanúsítvánnyal.
(4) – A hitelesítésszolgáltató x509 TLS/SSL-tanúsítvánnyal válaszol Key Vault TLS/SSL-tanúsítványkérésére.
(5) – Az új tanúsítvány létrehozása a hitelesítésszolgáltató X509-tanúsítványának összevonásával fejeződik be.
Key Vault felhasználó – tanúsítványt hoz létre egy szabályzat megadásával
Szükség szerint ismételje meg a műveletet
Szabályzatkorlátozások
- X509-tulajdonságok
- Fő tulajdonságok
- Szolgáltatói referencia – > pl. MyDigiCertIssure
- Megújítási információk – > pl. 90 nappal a lejárat előtt
A tanúsítványlétrehozási folyamat általában aszinkron folyamat, és magában foglalja a kulcstartó lekérdezését a tanúsítványlétrehozási művelet állapotához.
Tanúsítványművelet lekérése- Állapot: befejeződött, hibainformációval meghiúsult, vagy megszakítva
- A létrehozási késleltetés miatt megszakítási műveletet lehet kezdeményezni. A lemondás lehet, hogy nem érvényes.
Integrált hitelesítésszolgáltatóhoz társított hálózati biztonsági és hozzáférési szabályzatok
Key Vault szolgáltatás kéréseket küld a hitelesítésszolgáltatónak (kimenő forgalom). Ezért teljes mértékben kompatibilis a tűzfallal engedélyezett kulcstartókkal. A Key Vault nem oszt meg hozzáférési szabályzatokat a hitelesítésszolgáltatóval. A hitelesítésszolgáltatót úgy kell konfigurálni, hogy egymástól függetlenül fogadja el az aláírási kéréseket. Útmutató a megbízható hitelesítésszolgáltató integrálásához
Tanúsítvány importálása
Másik lehetőségként – a tanúsítvány importálható a Key Vault – PFX vagy PEM fájlba.
Tanúsítvány importálása – megköveteli, hogy egy PEM vagy PFX lemezen legyen, és titkos kulccsal rendelkezzen.
Meg kell adnia a tároló nevét és a tanúsítvány nevét (a szabályzat nem kötelező)
A PEM/PFX-fájlok olyan attribútumokat tartalmaznak, amelyeket a KV elemezhet és használhat a tanúsítványházirend feltöltéséhez. Ha már meg van adva tanúsítványházirend, a KV megpróbálja egyeztetni a PFX/PEM fájlból származó adatokat.
Az importálás véglegesítése után a további műveletek az új szabályzatot (új verziókat) fogják használni.
Ha nincsenek további műveletek, a Key Vault első lépése a lejárati értesítés küldése.
Emellett a felhasználó szerkesztheti a házirendet is, amely az importáláskor működik, de olyan alapértelmezett értékeket tartalmaz, amelyekben nem volt megadva információ az importáláskor. Például nincs kiállítói információ
Támogatott importálási formátumok
Az Azure Key Vault támogatja a .pem és a .pfx tanúsítványfájlokat a Tanúsítványok Key Vaultba való importálásához. A PEM-fájlformátumhoz az alábbi importálási típust támogatjuk. Egyetlen PEM kódolású tanúsítvány és egy PKCS#8 kódolású, titkosítatlan kulcs, amely a következő formátumú:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
A tanúsítvány importálásakor gondoskodnia kell arról, hogy a kulcs szerepeljen magában a fájlban. Ha a titkos kulcsot külön,más formátumban használja, akkor a kulcsot a tanúsítvánnyal kell kombinálnia. Egyes hitelesítésszolgáltatók különböző formátumú tanúsítványokat biztosítanak, ezért a tanúsítvány importálása előtt győződjön meg arról, hogy .pem vagy .pfx formátumúak.
Megjegyzés
Győződjön meg arról, hogy nincs más metaadat a tanúsítványfájlban, és hogy a titkos kulcs nem titkosítottként jelenik meg.
A CSR által támogatott egyesítési formátumok
Az AKV 2 PEM-alapú formátumot támogat. Egyesíthet egyetlen PKCS#8 kódolású tanúsítványt vagy egy base64 kódolású P7B-t (hitelesítésszolgáltató által aláírt tanúsítványláncot). Ha el kell fednie a P7B formátumát a támogatott formátumhoz, használhatja a certutil -encode parancsot.
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
Tanúsítvány létrehozása olyan hitelesítésszolgáltatóval, amely nem Key Vault
Ez a módszer lehetővé teszi a Key Vault partnerszolgáltatóitól eltérő hitelesítésszolgáltatókkal való munkát, ami azt jelenti, hogy a szervezet egy tetszőleges hitelesítésszolgáltatóval dolgozhat.
A következő lépésleírások az előző diagram zöld betűs lépéseinek felelnek meg.
(1) – A fenti ábrán az alkalmazás létrehoz egy tanúsítványt, amely belsőleg egy kulcsnak a kulcstartóban való létrehozásával kezdődik.
(2) – Key Vault visszatér az alkalmazáshoz egy tanúsítvány-aláírási kérelem (CSR).
(3) – Az alkalmazás átadja a CSR-t a kiválasztott hitelesítésszolgáltatónak.
(4) – A kiválasztott hitelesítésszolgáltató X509-tanúsítvánnyal válaszol.
(5) – Az alkalmazás befejezi az új tanúsítvány létrehozását az X509-tanúsítványnak a hitelesítésszolgáltatótól való egyesítésével.